サイバー攻撃の目的はどれもほとんど同じで、誰かのお金を盗むことです。しかし、さまざまなデバイスがインターネットに接続している以上、バグだらけのデバイスは、金銭的損失よりもさらに深刻な結末を招く可能性があります。たとえば、人間の健康や命はどうでしょうか?
コネクテッドカーを見てみましょう。デバイスが命にかかわる危険をもたらすことを示す好例です。自動運転車を乗っ取れば、事故を起こすのは簡単です。同じように、ハイテク医療機器も危険にさらされています。人々の健康を守るべく設計されたデバイスが、まったく反対の目的で使用される可能性があるのです。
これまで、不正侵入された医療機器が直接、人間の健康に害を与えた事例はありません。しかし、医療機器でも新たな脆弱性が日常的に見つかっており、中には、悪用されると人体に深刻な害を及ぼしかねないものも含まれています。
お金を盗むことと人間の身体を傷つけることは、まったく別の行為です。だから、ハッカーは倫理上、このような行為には及ばないだろう。そう期待する人がいるかもしれません。しかし、犯罪者たちが医療機器のハッキングに目を向けていないのは、単に、そのような攻撃から簡単に利益を得る方法を(まだ)知らないからです。
実際にサイバー犯罪者たちは、トロイの木馬をはじめ広く普及しているマルウェアを使って、病院を何度も攻撃しています。たとえば今年初め、ロサンゼルスのHollywood Presbyterian Medical Centerほか、米国内で数多くの医療施設がランサムウェアに感染しました。
ランサムウェアに感染したとき、身代金を払うべきか否かは議論が分かれます。米国の病院の例を見ると、お金を払ってもすべてが返ってくるわけではなかったようです。 https://t.co/x4bp7GJG8G pic.twitter.com/kmvEsM1sq5
— カスペルスキー 公式 (@kaspersky_japan) June 12, 2016
この病院は1万7000ドルを支払って、記録を取り返しました。ところが、Kansas Heart Hospitalが同じ手を打とうとすると、相手はファイルを返してくれず、代わりにさらに多くの身代金を要求してきました。このように、「人はこうあるべき」論だけでは犯罪者を止められません。手っ取り早く儲けるために、いつでも喜んで医療機関を攻撃する悪者もいるでしょう。
医療機器は決められた検査や認証を受けていますが、それは医療機器としてであって、インターネットに接続されたコンピューターテクノロジーとしてではありません。当然のことながら、サイバーセキュリティの要件を満たすことが推奨されていますが、それはベンダーの裁量に任されています。その結果、病院にある医療機器の多くは、有能なIT専門家なら昔から知っているような欠陥を抱えています。
米国食品医薬品局(FDA)は、医療機器の販売と認証を規制する機関です。FDAは日々進化し続けるネット接続環境に対応しようと、メーカーや医療サービス提供者に対して医療機器のセキュリティ強化を求める指針を発表しました(英語記事)。2016年の初めには、関連文書の草案が公表されています。しかし、これらの措置はどれも勧告に過ぎません(英語記事)。したがって、人命救助に不可欠な医療機器の安全確保は義務ではないのです。
怠慢は命取り
医療機器メーカーは、サイバーセキュリティのエキスパートに協力を要請できるはずですが、実際は逆で、テスト用に機器を提供することすら固辞しています。エキスパートは自腹で中古品を購入し、機器の保護レベルを確認するしかありません。ビリー・リオス(Billy Rios)氏はコネクテッドデバイスを知り尽くしたエキスパートの1人ですが、医療機器を調査することもあります。
リオス氏は2年ほど前、世界中の病院で使用されているHospira製の輸液ポンプをテストし、憂慮すべき結果を得ました。輸液ポンプの設定を変更し、投与量の上限を引き上げることができたのです。つまり、何者かが薬剤の投与量を好き勝手に変える可能性があったのです。皮肉なことに、このデバイスは人的ミスを防止すると宣伝されていました。
リオス氏はCareFusion製のPyxis SupplyStationでも脆弱性を発見しています。これは医薬品の分配や数量管理を支援するデバイスです。2014年に、誰でもこのシステムに侵入できるバグが見つかりました。
2016年、リオス氏は同僚のセキュリティエキスパート、マイク・アフマディ(Mike Ahmadi)氏とともにPyxis SupplyStationを再検査しました。1,400個を超える脆弱性が発見され(英語記事)、その半数はかなり深刻なものでした。2人が分析したのは旧モデルのPyxis SupplyStationだけですし、脆弱性の大半はサードパーティの開発者に責任があるものの、発見された脆弱性がきわめて厄介であることに変わりはありません。
病気だけでも心配なのに…医療機器にハッキングの恐れ
Tweet
問題は、旧モデルが生産終了を迎えており、広く使用されているにもかかわらず、開発者からパッチが提供されないことです。製造元のCareFusionは、新しいバージョンへのアップグレードを顧客に勧めました。アップグレードに乗り気でない顧客には、不正侵入のリスクを最小限に抑えるためのヒントを伝えました。
古い機器のアップデートは大変ですし、コストもかかります。しかし、これらの機器にインストールされているMicrosoftのOSはすでにサポートが終了しているので、機器は根本的に脆弱なままです。Pyxis SupplyStationの最新バージョンはWindows 7以降で稼働しているため、こういったバグとは無縁です。
Kaspersky Labは、病院向けにサイバー構造のテストも実施しました。当社のエキスパート、セルゲイ・ロズキン(Sergey Lozhkin)が実験に招かれ、断層撮影法スキャン装置などの医療機器をハッキングしました。
医療のハイテク化を支えるのは、さまざまなタイプの電子機器です。ネットワークで相互接続されたこれら機器は、セキュリティが考慮されていないという問題を抱えています。 #TheSAS2016 https://t.co/3ZS1KtFPpt pic.twitter.com/5eKbTRsOTh
— カスペルスキー 公式 (@kaspersky_japan) February 23, 2016
もちろん、これは実験として行われたものです。犯罪者がその気になれば、いかに簡単に同じことを再現できるのかを示すことが目的であり、実際には何の危害も与えていません。
責任の所在と今後の対策は?
医療機器はスマートフォンよりも長持ちしますが、高額な割に数十年という寿命ですから、決して長いとは言えません。しかも、最新の機器は旧型と比べて攻撃されにくいとはいえ、時間が経過し、適切なサポートがなくなれば、旧型と同じようにバグだらけになります。
アフマディ氏は「医療機器メーカーにとって、医療機器に所定の耐用年数があるだけでなく、その機器のサイバーセキュリティにも所定の耐用年数があることは理にかなっている」と説明しています。
Pyxis SupplyStationの件には明るい面もあります。CareFusionはリオス氏が最初に見つけたバグを無視しましたが、その後、巨大企業Becton Dickinsonに買収されました。新しい経営陣はサイバーエキスパートをまったく異なる観点で見ています。今後、企業はこれまでよりもバグ対策に力を入れるようになるでしょう。また、新製品が市場に出る前に広範な脆弱性テストを実施するようになることでしょう。